Los ciberdelincuentes están manipulando los motores de búsqueda para posicionar software pirata falso que esconde un letal ladrón de datos.
El ecosistema de código abierto está siendo utilizado como un gigantesco caballo de Troya. Este 9 de marzo de 2026, se reporta el descubrimiento de BoryptGrab, un nuevo malware de robo de datos que se propaga silenciosamente por sistemas Windows mediante una inmensa red de repositorios falsos en GitHub.
La campaña, activa desde al menos abril de 2025, engaña a los usuarios para que descarguen supuestas herramientas gratuitas, software crackeado o trucos para videojuegos. Analistas de seguridad rastrearon la amenaza y descubrieron una operación estructurada con diferentes variantes de carga útil (con nombres de compilación internos como “Shrek”, “Sonic”, “Yaropolk” y “CryptoByte”).
Un Aspirador de Credenciales y Criptomonedas
BoryptGrab está diseñado meticulosamente para ejecutar una extracción masiva de información confidencial:
- Extrae credenciales y cookies de múltiples navegadores, incluyendo Google Chrome, Mozilla Firefox, Microsoft Edge, Opera, Brave y Yandex.
- Apunta directamente a los fondos de los usuarios, atacando más de 30 aplicaciones de billeteras de criptomonedas de escritorio y extensiones web, tales como Exodus, Electrum, Ledger Live, Atomic y Trezor Suite.
- Captura la pantalla de la víctima, recopila archivos de Telegram, roba tokens de Discord y extrae archivos comunes del sistema.
- Logra evadir las nuevas protecciones del navegador utilizando código de omisión del cifrado vinculado a aplicaciones de Chrome (Chrome App Bound Encryption), el cual fue obtenido por los atacantes desde repositorios públicos.
Como si el robo no fuera suficiente, la campaña instala un componente secundario llamado TunnesshClient. Este backdoor, entregado como un ejecutable de PyInstaller, construye un túnel SSH inverso hacia el servidor del atacante, permitiéndole ejecutar comandos remotos, transferir archivos y usar la máquina de la víctima como un proxy SOCKS5. La presencia de comentarios en ruso en el código y el uso de direcciones IP asociadas a Rusia sugieren fuertemente el origen de los atacantes.
La Cadena de Infección: SEO y Evasión
Los piratas informáticos configuraron más de un centenar de repositorios públicos en GitHub, utilizando palabras clave altamente optimizadas para motores de búsqueda (SEO) en sus archivos README para posicionarse en la cima de los resultados legítimos.
Cuando la víctima hace clic en el enlace de descarga, la trampa se cierra:
- El enlace pasa a la víctima por una serie de redirecciones a través de URLs codificadas en base64 y encriptadas con AES.
- El usuario llega a una página falsa que genera dinámicamente un archivo ZIP malicioso a medida.
- En una de las variantes del ataque, el ZIP contiene un ejecutable que carga lateralmente (side-loads) un archivo libcurl.dll infectado, el cual descifra el payload usando XOR y AES-CBC.
- Otra variante utiliza un script VBS con comandos de PowerShell ofuscados que descarga el malware y añade estratégicamente exclusiones en Windows Defender para cegar al antivirus local.
Antes de ejecutarse, el código escanea el registro y las rutas del sistema para confirmar que no está dentro de una máquina virtual (VM), logrando así evadir los sandboxes de análisis de seguridad.
